increased versions to 5.1

[mod_auth_kerb.cvs/.git] / src / mod_auth_kerb.c
diff --git a/src/mod_auth_kerb.c b/src/mod_auth_kerb.c

index 64a0a12..312a8bd 100644 (file)
--- a/src/mod_auth_kerb.c
+++ b/src/mod_auth_kerb.c
@@ -11,7 +11,7 @@
   */
  
  /*
- * Copyright (c) 2004-2005 Masarykova universita
+ * Copyright (c) 2004-2006 Masarykova universita
   * (Masaryk University, Brno, Czech Republic)
   * All rights reserved.
   *
@@ -50,7 +50,7 @@
  #include <stdio.h>
  #include <stdarg.h>
  
-#define MODAUTHKERB_VERSION "5.0-rc6"
+#define MODAUTHKERB_VERSION "5.1"
  
  #define MECH_NEGOTIATE "Negotiate"
  #define SERVICE_NAME "HTTP"
@@ -65,24 +65,19 @@
  #ifdef STANDARD20_MODULE_STUFF
  #include <apr_strings.h>
  #include <apr_base64.h>
-
-#define ap_null_cleanup NULL
-#define ap_register_cleanup apr_pool_cleanup_register
-
-#define ap_pstrdup apr_pstrdup
-#define ap_pstrcat apr_pstrcat
-#define ap_pcalloc apr_pcalloc
-#define ap_psprintf apr_psprintf
-
-#define ap_base64decode_len apr_base64_decode_len
-#define ap_base64decode apr_base64_decode
-#define ap_base64encode_len apr_base64_encode_len
-#define ap_base64encode apr_base64_encode
-
-#define ap_table_setn apr_table_setn
-#define ap_table_add apr_table_add
  #else
-#define ap_pstrchr_c strchr
+#define apr_pstrdup            ap_pstrdup
+#define apr_psprintf           ap_psprintf
+#define apr_pstrcat            ap_pstrcat
+#define apr_pcalloc            ap_pcalloc
+#define apr_table_setn         ap_table_setn
+#define apr_table_add          ap_table_add
+#define apr_base64_decode_len  ap_base64decode_len
+#define apr_base64_decode      ap_base64decode
+#define apr_base64_encode_len  ap_base64encode_len
+#define apr_base64_encode      ap_base64encode
+#define apr_pool_cleanup_null  ap_null_cleanup
+#define apr_pool_cleanup_register      ap_register_cleanup
  #endif /* STANDARD20_MODULE_STUFF */
  
  #ifdef _WIN32
@@ -100,6 +95,7 @@
  #  include <gssapi/gssapi_krb5.h>
  #  define GSS_C_NT_USER_NAME gss_nt_user_name
  #  define GSS_C_NT_HOSTBASED_SERVICE gss_nt_service_name
+#  define GSS_KRB5_NT_PRINCIPAL_NAME gss_nt_krb5_name
  #  define krb5_get_err_text(context,code) error_message(code)
  #endif
  #ifndef GSSAPI_SUPPORTS_SPNEGO
@@ -154,7 +150,9 @@ typedef struct {
         const char *krb_service_name;
         int krb_authoritative;
         int krb_delegate_basic;
+#if 0
         int krb_ssl_preauthentication;
+#endif
  #ifdef KRB5
         char *krb_5_keytab;
         int krb_method_gssapi;
@@ -207,8 +205,10 @@ static const command_rec kerb_auth_cmds[] = {
     command("KrbDelegateBasic", ap_set_flag_slot, krb_delegate_basic,
       FLAG, "Always offer Basic authentication regardless of KrbMethodK5Pass and pass on authentication to lower modules if Basic headers arrive."),
  
+#if 0
     command("KrbEnableSSLPreauthentication", ap_set_flag_slot, krb_ssl_preauthentication,
       FLAG, "Don't do Kerberos authentication if the user is already authenticated using SSL and her client certificate."),
+#endif
  
  #ifdef KRB5
     command("Krb5Keytab", ap_set_file_slot, krb_5_keytab,
@@ -303,12 +303,14 @@ static void *kerb_dir_create_config(MK_POOL *p, char *d)
  {
         kerb_auth_config *rec;
  
-       rec = (kerb_auth_config *) ap_pcalloc(p, sizeof(kerb_auth_config));
+       rec = (kerb_auth_config *) apr_pcalloc(p, sizeof(kerb_auth_config));
          ((kerb_auth_config *)rec)->krb_verify_kdc = 1;
         ((kerb_auth_config *)rec)->krb_service_name = NULL;
         ((kerb_auth_config *)rec)->krb_authoritative = 1;
         ((kerb_auth_config *)rec)->krb_delegate_basic = 0;
+#if 0
         ((kerb_auth_config *)rec)->krb_ssl_preauthentication = 0;
+#endif
  #ifdef KRB5
         ((kerb_auth_config *)rec)->krb_method_k5pass = 1;
         ((kerb_auth_config *)rec)->krb_method_gssapi = 1;
@@ -323,7 +325,7 @@ static const char*
  krb5_save_realms(cmd_parms *cmd, void *vsec, const char *arg)
  {
     kerb_auth_config *sec = (kerb_auth_config *) vsec;
-   sec->krb_auth_realms= ap_pstrdup(cmd->pool, arg);
+   sec->krb_auth_realms= apr_pstrdup(cmd->pool, arg);
     return NULL;
  }
  
@@ -782,7 +784,7 @@ create_krb5_ccache(krb5_context kcontext,
     int ret;
     krb5_ccache tmp_ccache = NULL;
  
-   ccname = ap_psprintf(r->pool, "FILE:%s/krb5cc_apache_XXXXXX", P_tmpdir);
+   ccname = apr_psprintf(r->pool, "FILE:%s/krb5cc_apache_XXXXXX", P_tmpdir);
     fd = mkstemp(ccname + strlen("FILE:"));
     if (fd < 0) {
        log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
@@ -811,9 +813,9 @@ create_krb5_ccache(krb5_context kcontext,
        goto end;
     }
  
-   ap_table_setn(r->subprocess_env, "KRB5CCNAME", ccname);
-   ap_register_cleanup(r->pool, ccname,
-                      krb5_cache_cleanup, ap_null_cleanup);
+   apr_table_setn(r->subprocess_env, "KRB5CCNAME", ccname);
+   apr_pool_cleanup_register(r->pool, ccname, krb5_cache_cleanup,
+                            apr_pool_cleanup_null);
  
     *ccache = tmp_ccache;
     tmp_ccache = NULL;
@@ -954,7 +956,7 @@ authenticate_user_krb5pwd(request_rec *r,
     do {
        name = (char *) sent_name;
        if (realms && (realm = ap_getword_white(r->pool, &realms)))
-        name = ap_psprintf(r->pool, "%s@%s", sent_name, realm);
+        name = apr_psprintf(r->pool, "%s@%s", sent_name, realm);
  
        if (client) {
          krb5_free_principal(kcontext, client);
@@ -1003,7 +1005,7 @@ authenticate_user_krb5pwd(request_rec *r,
        ret = HTTP_UNAUTHORIZED;
        goto end;
     }
-   MK_USER = ap_pstrdup (r->pool, name);
+   MK_USER = apr_pstrdup (r->pool, name);
     MK_AUTH_TYPE = "Basic";
     free(name);
  
@@ -1041,7 +1043,7 @@ get_gss_error(MK_POOL *p, OM_uint32 err_maj, OM_uint32 err_min, char *prefix)
     gss_buffer_desc status_string;
     char *err_msg;
  
-   err_msg = ap_pstrdup(p, prefix);
+   err_msg = apr_pstrdup(p, prefix);
     do {
        maj_stat = gss_display_status (&min_stat,
                                      err_maj,
@@ -1051,7 +1053,7 @@ get_gss_error(MK_POOL *p, OM_uint32 err_maj, OM_uint32 err_min, char *prefix)
                                      &status_string);
        if (GSS_ERROR(maj_stat))
          break;
-      err_msg = ap_pstrcat(p, err_msg, ": ", (char*) status_string.value, NULL);
+      err_msg = apr_pstrcat(p, err_msg, ": ", (char*) status_string.value, NULL);
        gss_release_buffer(&min_stat, &status_string);
        
        maj_stat = gss_display_status (&min_stat,
@@ -1061,7 +1063,7 @@ get_gss_error(MK_POOL *p, OM_uint32 err_maj, OM_uint32 err_min, char *prefix)
                                      &msg_ctx,
                                      &status_string);
        if (!GSS_ERROR(maj_stat)) {
-        err_msg = ap_pstrcat(p, err_msg,
+        err_msg = apr_pstrcat(p, err_msg,
                               " (", (char*) status_string.value, ")", NULL);
          gss_release_buffer(&min_stat, &status_string);
        }
@@ -1133,6 +1135,7 @@ get_gss_creds(request_rec *r,
     char buf[1024];
     int have_server_princ;
  
+
     have_server_princ = conf->krb_service_name && strchr(conf->krb_service_name, '/') != NULL;
     if (have_server_princ)
        strncpy(buf, conf->krb_service_name, sizeof(buf));
@@ -1193,11 +1196,15 @@ get_gss_creds(request_rec *r,
     {
        krb5_gss_cred_id_t gss_creds = (krb5_gss_cred_id_t) *server_creds;
  
-      if (gss_creds && gss_creds->rcache && gss_creds->rcache->ops &&
-         gss_creds->rcache->ops->type &&  
-         memcmp(gss_creds->rcache->ops->type, "dfl", 3) == 0)
+      /* First we try to verify we are linked with 1.3.x to prevent from
+         crashing when linked with 1.4.x */
+      if (gss_creds && (gss_creds->usage == GSS_C_ACCEPT)) {
+        if (gss_creds->rcache && gss_creds->rcache->ops &&
+            gss_creds->rcache->ops->type &&  
+            memcmp(gss_creds->rcache->ops->type, "dfl", 3) == 0)
            /* Override the rcache operations */
          gss_creds->rcache->ops = &mod_auth_kerb_rc_ops;
+      }
     }
  #endif
     
@@ -1288,15 +1295,15 @@ authenticate_user_gss(request_rec *r, kerb_auth_config *conf,
       goto end;
    }
  
-  input_token.length = ap_base64decode_len(auth_param) + 1;
-  input_token.value = ap_pcalloc(r->connection->pool, input_token.length);
+  input_token.length = apr_base64_decode_len(auth_param) + 1;
+  input_token.value = apr_pcalloc(r->connection->pool, input_token.length);
    if (input_token.value == NULL) {
       log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
                 "ap_pcalloc() failed (not enough memory)");
       ret = HTTP_INTERNAL_SERVER_ERROR;
       goto end;
    }
-  input_token.length = ap_base64decode(input_token.value, auth_param);
+  input_token.length = apr_base64_decode(input_token.value, auth_param);
  
  #ifdef GSSAPI_SUPPORTS_SPNEGO
    accept_sec_token = gss_accept_sec_context;
@@ -1327,8 +1334,8 @@ authenticate_user_gss(request_rec *r, kerb_auth_config *conf,
       char *token = NULL;
       size_t len;
       
-     len = ap_base64encode_len(output_token.length) + 1;
-     token = ap_pcalloc(r->connection->pool, len + 1);
+     len = apr_base64_encode_len(output_token.length) + 1;
+     token = apr_pcalloc(r->connection->pool, len + 1);
       if (token == NULL) {
         log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
                    "ap_pcalloc() failed (not enough memory)");
@@ -1336,7 +1343,7 @@ authenticate_user_gss(request_rec *r, kerb_auth_config *conf,
         gss_release_buffer(&minor_status2, &output_token);
         goto end;
       }
-     ap_base64encode(token, output_token.value, output_token.length);
+     apr_base64_encode(token, output_token.value, output_token.length);
       token[len] = '\0';
       *negotiate_ret_value = token;
       log_rerror(APLOG_MARK, APLOG_DEBUG, 0, r,
@@ -1375,13 +1382,13 @@ authenticate_user_gss(request_rec *r, kerb_auth_config *conf,
    if (GSS_ERROR(major_status)) {
      log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
                "%s", get_gss_error(r->pool, major_status, minor_status,
-                                  "gss_export_name() failed"));
+                                  "gss_display_name() failed"));
      ret = HTTP_INTERNAL_SERVER_ERROR;
      goto end;
    }
  
    MK_AUTH_TYPE = MECH_NEGOTIATE;
-  MK_USER = ap_pstrdup(r->pool, output_token.value);
+  MK_USER = apr_pstrdup(r->pool, output_token.value);
  
    if (conf->krb_save_credentials && delegated_cred != GSS_C_NO_CREDENTIAL)
       store_gss_creds(r, conf, (char *)output_token.value, delegated_cred);
@@ -1439,12 +1446,12 @@ set_kerb_auth_headers(request_rec *r, const kerb_auth_config *conf,
  #ifdef KRB5
     if (negotiate_ret_value != NULL && conf->krb_method_gssapi) {
        negoauth_param = (*negotiate_ret_value == '\0') ? MECH_NEGOTIATE :
-                 ap_pstrcat(r->pool, MECH_NEGOTIATE " ", negotiate_ret_value, NULL);
-      ap_table_add(r->err_headers_out, header_name, negoauth_param);
+                 apr_pstrcat(r->pool, MECH_NEGOTIATE " ", negotiate_ret_value, NULL);
+      apr_table_add(r->err_headers_out, header_name, negoauth_param);
     }
     if ((use_krb5pwd && conf->krb_method_k5pass) || conf->krb_delegate_basic) {
-      ap_table_add(r->err_headers_out, header_name,
-                  ap_pstrcat(r->pool, "Basic realm=\"", auth_name, "\"", NULL));
+      apr_table_add(r->err_headers_out, header_name,
+                  apr_pstrcat(r->pool, "Basic realm=\"", auth_name, "\"", NULL));
        set_basic = 1;
     }
  #endif
@@ -1487,6 +1494,7 @@ kerb_authenticate_user(request_rec *r)
     else
        return DECLINED;
  
+#if 0
     if (conf->krb_ssl_preauthentication) {
        const char *ssl_client_verify = ssl_var_lookup(r->pool, r->server,
                 r->connection, r, "SSL_CLIENT_VERIFY");
@@ -1494,6 +1502,7 @@ kerb_authenticate_user(request_rec *r)
        if (ssl_client_verify && strcmp(ssl_client_verify, "SUCCESS") == 0)
          return OK;
     }
+#endif
  
     /* get what the user sent us in the HTTP header */
     auth_line = MK_TABLE_GET(r->headers_in, (r->proxyreq == PROXYREQ_PROXY)
@@ -1547,14 +1556,46 @@ kerb_authenticate_user(request_rec *r)
     return ret;
  }
  
+int
+have_rcache_type(const char *type)
+{
+   krb5_error_code ret;
+   krb5_context context;
+   krb5_rcache id;
+   int found;
+
+   memset(&id, 0, sizeof(id));
+
+   ret = krb5_init_context(&context);
+   if (ret)
+      return 0;
+
+   ret = krb5_rc_resolve_type(context, &id, type);
+   found = (ret == 0);
+
+   krb5_free_context(context);
+
+   return found;
+}
  
  /*************************************************************************** 
   Module Setup/Configuration
   ***************************************************************************/
  #ifndef STANDARD20_MODULE_STUFF
+static void
+kerb_module_init(server_rec *dummy, pool *p)
+{
+#ifndef HEIMDAL
+   /* Suppress the MIT replay cache.  Requires MIT Kerberos 1.4.0 or later.
+      1.3.x are covered by the hack overiding the replay calls */
+   if (getenv("KRB5RCACHETYPE") == NULL && have_rcache_type("none"))
+      putenv(strdup("KRB5RCACHETYPE=none"));
+#endif
+}
+
  module MODULE_VAR_EXPORT auth_kerb_module = {
         STANDARD_MODULE_STUFF,
-       NULL,                           /*      module initializer            */
+       kerb_module_init,               /*      module initializer            */
         kerb_dir_create_config,         /*      per-directory config creator  */
         NULL,                           /*      per-directory config merger   */
         NULL,                           /*      per-server    config creator  */
@@ -1585,6 +1626,13 @@ kerb_init_handler(apr_pool_t *p, apr_pool_t *plog,
                   apr_pool_t *ptemp, server_rec *s)
  {
     ap_add_version_component(p, "mod_auth_kerb/" MODAUTHKERB_VERSION);
+#ifndef HEIMDAL
+   /* Suppress the MIT replay cache.  Requires MIT Kerberos 1.4.0 or later.
+      1.3.x are covered by the hack overiding the replay calls */
+   if (getenv("KRB5RCACHETYPE") == NULL && have_rcache_type("none"))
+      putenv(strdup("KRB5RCACHETYPE=none"));
+#endif
+   
     return OK;
  }